Azure Information Protection (AIP) を使用すると、組織内外でやり取りする E メールおよびドキュメントを保護できます。

Microsoft Azure は、ビジネス上の課題に対処する一連のクラウド サービスを提供するために開発された、パブリック クラウド コンピューティング プラットフォームです。これによって、お気に入りのツールやフレームワークを使用して、大規模なグローバル ネットワーク全体でアプリケーションを構築、管理、および展開することが可能になります。Azure Information Protection (AIP) は、Microsoft Azure で提供されるサービスの 1 つです。

AIP は、企業の秘密情報を保護します。AIP を使用すれば、組織で E メールおよびドキュメントを作成または変更した時点で、それらを暗号化、分類、および保護することができます。AIP を使用して以下を行うことができます。

  • 手動または自動でラベルを追加し、ビジネス ルールに基づいて E メールおよびドキュメントを分類します。
  • E メールおよびドキュメントに暗号化を適用します。
  • ヘッダーおよびフッター テキストを E メールに適用して、情報を保護します。

AIP はエンドユーザー エクスペリエンスに優れており、ユーザーはラベルを適用するだけで情報を保護できます。組織においても、データ保護のための包括的かつ統合されたアプローチによって、セキュリティおよびデータ漏洩防止ポリシーを強化することができます。

AIP の詳細については、「Azure Information Protection とは」を参照してください。

AIP でサポートされている機能

  • AIP 機能は、先進認証のみをサポートします。
  • AIP では、ラベルを使用して E メールの内容を暗号化できます。既定では Azure クラウド キーが暗号化に使用されますが、ラベルの保護テンプレート ID を構成することで、追加の暗号化をサーバ レベルで設定することもできます。
  • AIP は、ウォーターマーク機能をサポートします。ヘッダーおよびフッター テキストを E メールに適用することで、ウォーターマークを追加できます。
  • 既定のラベルは、作成した新しい E メールに自動的に適用されるラベルです。
  • AIP 機能では、E メールごとに 1 つのラベルのみを適用できます。
  • 次のカテゴリに基づいて、E メールおよびドキュメントに制限を適用できます。
    • ユーザー アクション - ユーザーが受信 E メールに対して次のアクションを実行することを制限できます。
    • 表示
    • 返信
    • 全員に返信
    • 転送禁止
    • ユーザー グループ - 選択したユーザーおよびグループのみに E メールへのアクセスを許可することができます。
    • 時間 - ユーザーが E メールにアクセスするための日数または特定の日付を設定できます。期限が切れると、ユーザーは E メールにアクセスできなくなります。
  • ユーザーがラベルをダウングレードまたは削除しようとしたときに、その理由を要求するように AIP を構成することができます。
  • スレッド内の各 E メールに異なるラベルを付けることができます。
  • Workspace ONE UEM console で秘密度ラベルを構成した場合、ユーザーは Workspace ONE Boxer で IRM テンプレートを表示できません。

組織での Azure Information Protection (AIP) 秘密度ラベルの有効化

管理者は Azure ポータルを使用して、組織の Azure Information Protection 秘密度ラベルを構成できます。また、AIP 機能を有効にするために、キー値ペアを使用して Workspace ONE Boxer を構成することも必要です。

  1. Azure ポータルにログインします。Azure ポータルの詳細については、「Azure Information Protection ポリシーの構成」を参照してください。

  2. Office 365 アカウントの組織設定で次のオプションを有効にします。

    a. Azure Information Protection

    b. Microsoft Information Protection API

  3. AIP で データ保護 および 統合ラベル付け オプションをアクティブ化します。

  4. AIP の 分類 設定でラベルを構成します。

  5. Workspace ONE UEM console で PolicySensitivityLabelsEmailClassification キーを追加して有効にします。このキーの構成方法については、「Workspace ONE Boxer で AIP 秘密度ラベルを有効にする」を参照してください。

    PolicySensitivityLabelsEmailClassification キーを有効にすると、

    • エンドユーザー向けの既定の Boxer ポリシー(分類および IRM テンプレート)が非アクティブ化され、Azure で設定された一連の AIP 秘密度ラベルに置き換えられます。

    • 次のキー値ペアは非アクティブになり、有効化できません。

      • PolicyClassMarkingsEnabled
      • PolicyClassMarkingsXHeader
      • PolicyClassVersion
      • PolicyClassMarkings
      • PolicyClassMarkingsRankEnabled
      • PolicyClassMarkingsDefaultClass 注:
    • 管理者は、秘密度ラベルを使用することへの同意をテナントユーザーに提供する必要があります。提供しない場合は、各ユーザーが手動で同意する必要があります。ユーザーは、同意なしにラベルを使用することはできません。

    • Azure から Workspace ONE Boxer へのラベルの同期に、24 時間かかることがあります。

Workspace ONE Boxer での Azure Information Protection (AIP) 秘密度ラベルの構成

AIP 秘密度ラベルにアクセスすることへの同意が管理者から提供されていない場合は、手動で同意する必要があります。

  1. 秘密度ラベルを Workspace ONE Boxer で有効にするには、受信トレイの画面に表示されるバナーにある 有効化 オプションをタップします。

  2. 複数の管理対象アカウントがあり、[すべてのアカウント] 画面を表示している場合は、秘密度ラベルを有効にするアカウントを選択する必要があります。1 つの管理対象アカウントがある場合は、Microsoft のページに直接リダイレクトされ、そのページで手動で同意する必要があります。

  3. Microsoft のページで 同意する をタップして、手動で同意します。

    同意を受け取ると、Boxer がすべてのラベルを Azure から取得します。これらのラベルを E メールに適用することや、ラベルの付いた E メールを受信することができます。

  4. 秘密度ラベルの付いた古い E メールを更新するには、Boxer を再同期します。

同意を受け取っていない場合でも、E メールにアクセスできますが、制限や分類を E メールの内容に適用することはできません。

E メールへの Azure Information Protection (AIP) 秘密度ラベルの適用

新しい E メールの作成や、受信した E メールの返信または転送を行うときに、秘密度ラベルを適用できます。E メールにラベルを適用するには、ラベル アイコンをタップする必要があります。タップすると、Azure で構成されているすべてのラベルのリストが表示されます。

全般情報

  • 親ラベルは選択できません。子ラベルのみを選択できます。

  • 既定ラベル機能が Azure で有効になっている場合は、ラベルがすでにリストに適用されていることを確認できます。

  • E メールにラベルを適用すると、E メールの本文に次のものが表示されます。

    • ラベルを適用したことを確認するための Snackbar。
    • ラベル アイコンが赤に変わります。
    • E メールの件名の下に、赤の実線が表示されます。

    **注:**秘密度ラベルでは、委任アカウントはサポートされません。

Azure Information Protection (AIP) 秘密度ラベルを使用した E メールの受信

秘密度ラベルが適用された E メールを受信すると、適用されたラベルの名前と、赤でマークされたラベル アイコンが表示されます。ヘッダーおよびフッター テキストの設定がラベルにある場合は、そのテキストも表示されます。E メールの本文に表示されるヘッダーおよびフッター テキストは、Azure のラベル設定に従います。

送信者は、ラベルの設定に基づいて、受信者が受信 E メールに対して返信全員に返信転送 などのアクションを実行することを制限できます。

ラベル名をタップすると、名前、権限、受信 E メールに適用された制限などのラベルの追加の詳細が表示されます。送信者から権限が付与されている場合は、受信 E メールのラベルを変更することもできます。ラベルを変更する有効な理由を入力するように求められる場合があります。Azure のポリシー設定でこのような要求が制御されています。

次の場合には、秘密度ラベルにアクセスできません。

  • 管理者が、Workspace ONE UEM console で PolicySensitivityLabelsEmailClassification キーを有効にしていますが、Azure で秘密度ラベルを構成していません。
  • Boxer アプリケーションが Azure サーバに接続できません。

IRM テンプレートと秘密度ラベルの組み合わせ:

  • IRM テンプレートがすでに適用された E メールを受信した場合は、Azure 管理者によって構成された既定の秘密度ラベルがその E メールに適用されます。ラベルを手動で適用することもできます。
  • 秘密度ラベルが適用された E メールを受信した場合、許可されていれば別の秘密度ラベルを使用することができます。

S/MIME と秘密度ラベルの組み合わせ:

  • 署名または暗号化された E メールを受信し、それに秘密度ラベルを適用すると、署名または暗号化レベルの保護がその E メールから削除されます。
  • 秘密度ラベルがすでに適用された E メールを受信した場合、その E メールの署名または暗号化を行うと、ラベルが自動的に削除されます。
check-circle-line exclamation-circle-line close-line
Scroll to top icon